Làm việc với Read Only Domain Controller – Phần 2

Trong phần hai này, chúng tôi sẽ giới thiệu cho các bạn một số khía cạnh thực hành trong quá trình làm việc với Read Only Domain Controllers.
Nội dung trích xuất từ tài liệu:
Làm việc với Read Only Domain Controller – Phần 2Làm việc với Read Only Domain Controller – Phần 2Nguồn:quantrimang.com Brien M. Posey Quản trị mạng – Trong phần hai này chúng tôi sẽ giới thiệu cho các bạn về một số khía cạnh trong triển khai Read Only Domain Controllers.Giới thiệuTrong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn một số lýdo cơ bản về việc Microsoft cung cấp Read Only Domain Controllers trongWindows Server 2008. Trong phần hai này, chúng tôi sẽ giới thiệu cho các bạnmột số khía cạnh thực hành trong quá trình làm việc với Read Only DomainControllers.Tiêu chuẩn tài khoản người dùngChúng tôi sẽ bắt đầu bằng cách làm rõ một số thứ đã đưa ra trong phần cuối củaphần một. Ở phần cuối của phần một đó, chúng tôi đã cho rằng không có cácthông tin tài khoản nào được lưu trên read only domain controller.Tuy nhiên trong thực tế không hẳn như vậy, các thông tin tài khoản người dùnglại được lưu trên các bộ điều khiển miền chỉ đọc. Những gì mà các bộ điều khiểnmiền domain controllers đang thiếu là các mật khẩu của người dùng. Những mậtkhẩu này không được sao chép vào Read Only Domain Controllers. Nếu ai đóđánh cắp một domain controller từ một văn phòng chi nhánh thì họ cũng khôngthể sử dụng các thông tin được lưu trong cơ sở dữ liệu Active Directory để bẻkhóa mật khẩu của người dùng.Thuộc tính của người dùngMặc định, mật khẩu chỉ là thuộc tính của người dùng và không được tạo bản saođến Read Only Domain Controllers. Mặc dù vậy bạn vẫn thể cấu hình Windowsnhằm ngăn chặn việc bị tạo bản sao các thuộc tính của những người dùng khác.Vậy tại sao bạn lại sử dụng tính năng như vậy? Cần phải nói rằng nếu chỉ sửdụng với tư cách là một cơ chế thẩm định thì bạn có thể sẽ không cần đến tínhnăng này. Tuy nhiên bạn cần lưu ý có nhiều tổ chức phụ thuộc nhiều vào ActiveDirectory hơn dùng cơ chế thẩm định quyền.Trong ví dụ mà chúng tôi sẽ đề cập đến, đó là một môi trường doanh nghiệp lớn,ở đây họ đã có những nhân viên phát triển “on site”. Các chuyên gia phát triểncủa công ty đã tạo các ứng dụng sử dụng cho các công việc của riêng công ty.Hầu hết tất cả các ứng dụng này đều sử dụng cơ sở dữ liệu nhưng các cơ sở dữliệu này không được liên kết với nhau.Điều đó có nghĩa rằng mỗi một cơ sở dữ liệu đều có một số thông tin nhân bản.Cho ví dụ, tên của mỗi một nhân viên, số điện thoại nội bộ và số ID cá nhân(cùng với nhất nhiều thứ khác) đều có trong mỗi cơ sở dữ liệu. Nếu có lỗi nào đóxuất hiện trong quá trình nhập dữ liệu thì dữ liệu đó sẽ không nhất quán trongcác cơ sở dữ liệu với nhau. Ví dụ, tên của một nhân viên có thể bị đánh saichính tả trong một cơ sở dữ liệu nhưng lại đúng trong các cơ sở dữ liệu khác,hoặc hai số trong số ID của nhân viên có thể bị hoán vị trong một cơ sở dữ liệu.Một vài năm cách đây, một số công ty đã nhận ra rằng việc sử dụng phươngpháp này không thu lại được nhiều hiệu quả như mong đợi. Phương pháp nàykhông những sinh ra các lỗi mà còn làm cho các công ty phải tốn thêm chi phícho việc trả lương cho các nhân viên nhập dữ liệu có trong cơ sở dữ liệu khác.Có nhiều giải pháp khác để khắc phục tình trạng này, tuy nhiên phương phápthường được sử dụng nhất là sử dụng các thông tin trong Active Directory.Cho ví dụ, một tổ chức đã tạo một ứng dụng nhân sự để họ có thể sử dụng nộibộ. Tuy nhiên dữ liệu được lưu trong một cơ sở dữ liệu SQL Server, còn nhữngdữ liệu như tên nhân viên, tiêu đề, số điện thoại,… lại được lưu trong ActiveDirectory với tư cách là các thuộc tính của tài khoản. Phương pháp này chophép các thông tin được dùng chung sẽ được sử dụng lại ở nhiều địa điểm và nócho phép hủy kết nối giữa tên của người dùng và các dữ liệu quan trọng khác.Cơ sở dữ liệu SQL Server có chứa những dữ liệu như số bảo mật xã hội vàthông tin về tiền lương, tuy nhiên nó không chứa tên của bất cứ nhân viên nào.Chỉ có một thứ gắn hai cơ sở dữ liệu với nhau là số nhân viên trong cả hai cơ sởdữ liệu.Lý do tại sao chúng tôi giới thiệu cho các bạn điều này là muốn chỉ ra sự thậtrằng một số tổ chức sử dụng các thuộc tính tài khoản người dùng và các thuộctính này có thể chứa các thông tin nhạy cảm. Trừ khi có một nhu cầu trực tiếp vềkiểu thông tin cần lưu nội bộ trên một domain controller trong một văn phòng chinhánh, bằng không bạn nên xem xét đến việc khóa quá trình tạo bản sao một sốtính năng nhạy cảm.Một thứ mà bạn cần phải lưu ý là trong khi một số tổ chức sử dụng các thuộctính người dùng trong các ứng dụng thì các công ty này vẫn tận dụng cácpartition thư mục ứng dụng. Các partition thư mục ứng dụng ở đây chính là cácpartition Active Directory đặc biệt được tạo riêng để sử dụng cho ứng dụng.Read Only Domain Controllers hỗ trợ đầy đủ việc tạo bản sao dữ liệu được lưutrong các partition thư mục ứng dụng.Một lưu ý nữa đó là Read Only Domain Controllers cũng có thể được cấu hìnhđể thực hiện như mộ ...